CISA je naredila američkim vladinim agencijama da u roku od nedjelju dana obezbijede svoje sisteme od još jedne ranjivosti u Fortinetovom FortiWeb web aplikacionom firewall-u, koja je već iskorišćena u zero-day napadima.
Ranjivost označena kao CVE-2025-58034 predstavlja propust koji omogućava OS command injection i može omogućiti autentifikovanim hakerima da izvrše kod u napadima niske kompleksnosti koji ne zahtijevaju interakciju korisnika.
„Ranjivost Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) [CWE-78] u FortiWeb-u može omogućiti autentifikovanom napadaču da izvrši neautorizovani kod na osnovnom sistemu putem posebno izrađenih HTTP zahtjeva ili CLI komandi“, saopštio je Fortinet u utorak.
Sajber bezbjednosna agencija je istog dana dodala ranjivost u svoj katalog Known Exploited Vulnerabilities, dajući Federal Civilian Executive Branch (FCEB) agencijama rok do utorka, 25. novembra, da zaštite svoje sisteme, kako nalaže Binding Operational Directive (BOD) 22-01.
„Ova vrsta ranjivosti predstavlja čest vektor napada za hakere i nosi značajan rizik za federalne sisteme“, upozorila je CISA.
„Zbog nedavnih i tekućih incidenata eksploatacije [..], preporučuje se skraćen rok sanacije od jedne nedjelje“, dodaje se u saopštenju, uz pozivanje na drugu FortiWeb ranjivost (CVE-2025-64446), takođe iskorišćenu u zero-day napadima, koju je Fortinet tiho zakrpio krajem oktobra.
U petak je CISA takođe dodala ranjivost CVE-2025-64446 u svoj katalog aktivno eksploatisanih bezbjednosnih propusta, naredivši federalnim agencijama da zakrpe svoje uređaje do 21. novembra.
U avgustu je Fortinet riješio još jednu ranjivost za command injection (CVE-2025-25256) u svom FortiSIEM rješenju, nakon izvještaja GreyNoise-a koji je upozorio na talas brute-force napada na Fortinet SSL VPN-ove.
Fortinet ranjivosti su često meta sajber špijunaže i ransomware napada. Na primjer, u februaru je Fortinet otkrio da je kineska hakerska grupa poznata kao Volt Typhoon iskoristila dvije FortiOS SSL VPN ranjivosti da kompromituje mrežu Ministarstva odbrane Holandije koristeći sopstveni custom remote access trojan (RAT) pod nazivom Coathanger.
Izvor: BleepingComputer